PlayThru – lepszy odpowiednik captchy, ale czy skuteczny?

Na Antywebie i Polygamii trafiłem na informacje o PlayThru, czyli czymś, co może zastąpić nielubianą nigdzie captchę. Pomysł i podejście do problemu są ciekawe, ale czy skuteczne? Czym jest PlayThru i czemu nie musi być skuteczne?

Ale o co chodzi?

Captcha w rożnych odmianach to popularny system mający sprawdzić, czy ten ktoś po drugiej stronie to człowiek, czy maszyna (bot). Generalnie chodzi o zabezpieczenie przed spamującymi skryptami. Dlatego na każdym kroku musimy przepisywać literki aby pokazać że jesteśmy tym, za kogo się podajemy. Jak bywa z captchami każdy wie. Każdy z Was na pewno nie raz musiał przeklepać jakiś ciąg znaków, aby założyć konto, wysłać sms-a z bramki lub zgłosić gdzieś jakąś sugestię. Problem w tym, że boty coraz lepiej sobie radzą z różnymi wariacjami captchy, więc te stają się coraz mniej czytelne – teoretycznie trudniejsze dla botów, a często zbyt trudne dla człowieka.

Stąd też wywodzi się pomysł reCaptchy – jako słowa do przepisania pojawiają się te, z którymi nie poradził sobie OCR, przez co jest trudna do złamania. Powstały też inne systemy weryfikacji na podstawie obrazków i innych form, z którymi boty nie bardzo sobie radzą.

PlayThru

PlayThru jest alternatywą dla zwykłej captchy. Zamiast kombinowania i przepisywania liter (czy cyfr lub innych znaków) wystarczy zagrać w prostą grę. Grę, w której choć trzeba pomyśleć, to każdy sobie powinien poradzić (chyba każdy wie, że w lodówce powinnaosię znajdować jabłko, ale koło samochodowe nie koniecznie, prawda? ;) ).

Z resztą zobaczcie sami.

PlayThru wykorzystuje trzy technologie do wyświetlania mini gry: Flash, HTML5 i JavaScript, a odpowiednia jest dobierana po sprawdzeniu przeglądarki użytkownika. Powoduje to, że system powinien zadziałać prawie na każdej przeglądarce (a nawet na urządzeniach mobilnych).

Siłą PlayThru jest serwowanie użytkownikowi rożnych gier z rożnymi instrukcjami, a same gry posiadają rożne wariacje. Do tego elementy w grze muszą zostać rozpoznane wizualnie i się przemieszczają. Powoduje to, że raczej nie trafimy na dwie identyczne gry tak, aby bot potrafił na podstawie własnej bazy danych poprawnie w grę „zagrać”.

Poza czystą „przyjemnością” z zagrania sobie w coś dla odpoczynku od captchy i głównego zajęcia, rozwiązanie to skraca czas potrzebny na weryfikację do 10-12 sekund z 16 w przypadku captchy (średnie czasy podane na stronie autorów).

Przyznam jednak, że pomysł takiego zamiennika captchy przypadł mi do gustu.

Ale…

Aby nie było jednak zbyt kolorowo, ten system też nie jest odporny na ataki botów. Podczas pracy w PCLab.pl podzieliłem boty na dwie podgrupy – boty, takie zwykłe tradycyjne, oraz coś, co nazwałem humanbotami. O co chodzi?

Od kiedy używamy reCaptchy, boty przestały nam się dawać we znaki (ale chyba wypadało by to ponownie sprawdzić). Nie słyszałem jeszcze o narzędziu, które złamało by reCapcthę (tzn słyszałem, ale nie jest ono dość skuteczne) – chyba, że mnie coś ominęło?

Pojawił się jednak inny problem – spamerskie konta nadal były zakładane i dokładniejsza analiza wykazała, że konta są zakładane z adresów IP o podobnej lokalizacji geograficznej, konkretniej z… Chin. Co więcej analiza logów dla tych adresów IP wykazała, ze pobierane są kompletne strony rejestracji (czyli  nie tylko html, ale i obrazki, js-y, css-y itp), czyli prawie na 100% zwykła przeglądarka. Co więcej tzw. User Agenty były różne, ale i powtarzalne. Również częstotliwość powstawania nowych kont dawała do myślenia – kilka kont w ciągu kilku minut w podobnych odstępach czasu. Na tej podstawie nazwałem tą grupę botów humanbotami, ponieważ prawie na pewno są to zwykli ludzie, którzy za opłatą (raczej bardzo skromną) siedzą i zakładają konta ręcznie – jedno po drugim.

Do czego zmierzam? Do tego, ze nawet PlayThru nie powstrzyma takich botów. Razem z Maćkiem zastanawialiśmy się nad rożnymi rozwiązaniami. Doszliśmy do wniosku, że potrzeba czegoś, co Polak zrozumie bez problemu, ale człowiek nieznający polskiego przy użyciu translatora już nie – np. celowo zniekształcone słowa polecenia do wykonania tak, aby były nadal zrozumiałe. Teraz trzeba jeszcze wygospodarować czas na „wyprodukowanie” takiego mechanizmu.

Podsumowanie

Ja również nie lubię captchy. Prześladuje nas wszędzie i na każdym kroku. Duże portale radzą sobie ze spamem znakomicie – czy ktoś z Was widział spam na Facebooku? Ja nie i nie mówię o aplikacjach, które uruchamiamy świadomie lub mniej świadomie. Mam na myśli typowy spam z nowo założonych kont. Mniejsze portale nie mogą sobie pozwolić na wypracowanie rozwiązań, nad którymi pracuje wiele osób przez dłuższy czas, ale tam łatwiej jest też wymoderować ręcznie to co się przedostało.

W 100% spamu nie wyeliminujemy, ale moim zdaniem powinniśmy iść raczej w kierunku rozwiązań, jakie zaproponowałem powyżej. Co myślicie?

 

Źródła: Antyweb, Polygamia
Obrazek: [1]

Ten wpis został opublikowany w kategorii Internet, Oprogramowanie, PCLab.pl, Programowanie, WWW i oznaczony tagami , , , . Dodaj zakładkę do bezpośredniego odnośnika.

Dodaj komentarz

Musisz się zalogować (także Facebook, Google+, Twitter), aby móc dodać komentarz.